セッションハイジャックとは
スポンサードリンク
セッションハイジャックとは、成り済ましの一種でクライアントとサーバの正規セッションに割り込んで、セッションを奪い取る行為をいいます。セッションハイジャックにより行われる行為として以下のようなことが考えられます。
・正規サーバになりすましてクライアントの機密情報を盗む。
・正規クライアントになりすまして、サーバに侵入する。
以下にセッションハイジャックの種類と攻撃手法について紹介します。
セッションハイジャックの種類と攻撃手法 |
・TCPセッションハイジャック
TCPではコネクション確立時に互いにシーケンス番号を交換し、コネクション確立後は発信者がデータを送る際にシーケンスを加算して通信を行うことで信頼性を高めている。この仕組みを利用して矛盾なくシーケンス番号を操作して成り済まし通信を行う行為をTCPセッションハイジャックである。
|
・UDPセッションハイジャック
UDPはコネクション確立手順がないため、クライアントからのリクエストに対して、正規サーバよりも先にレスポンスを返すことでセッションハイジャックを行う。
|
・WEBセッションハイジャック
HTTPは、一つ一つセッション単位で完結するため、連続的なやり取りや状態を管理することはできない。そのためWEBアプリケーション側で各セッションを管理するための識別情報(セッションID)を生成し、URLやクッキーにセットしてクライアントとやりとりを行います。
侵入者は、URL、クッキー、hiddenフィールドにセットされたセッション管理情報を推測や盗聴するなどして取得し正規ユーザに成り済ましてWEBサーバとのセッションハイジャックを行います。
以下にWEBセッションハイジャックの一つである、セッションフィクセイションを紹介します。
セッションフィクセイションは、セッションIDを含むURLをメールなどで送りつけ、ユーザに意図的にセッションを確立させハイジャックを行うという手法をとります。
よくスパムメールにURLが書かれたメールを見かけますが、クリックするとセッションをハイジャックされる可能性があります、注意が必要です。
セッションフィクセイションの攻撃パターン
@ターゲットとなるWEBサイトでセッションIDを入手
↓
A入手したセッションIDを含むURLをリンク先としてフィッシングメールをユーザへ送付
↓
Bユーザがリンクをクリックすると、不正セッションIDを使ってターゲットサイトにログイン
↓
Cターゲットサイトで正規ユーザになりすまし、不正な操作を行う
|
|
> セッションハイジャック対策
|
|
|